ENSAYO

EL CONTROL DE RIESGOS EN LAS PYMES COLOMBIANAS. CASO: ASESORIA EN LA IMPLEMENTACION DE UN SISTEMA DE GESTION

DE RIESGOS A UNA PYME COLOMBIANA DEDICADA A LA TRANSFORMARCION DEL VIDRIO

HUGO GIOVANNI GUEVARA NAVARRETE

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE CIENCIAS ECONÓMICAS Y ADMINISTRATIVAS

DEPARTAMENTO DE CIENCIAS CONTABLES CARRERA DE CONTADURÍA PÚBLICA

BOGOTÁ D.C. 2011

ENSAYO

EL CONTROL DE RIESGOS EN LAS PYMES COLOMBIANAS. CASO: ASESORIA EN LA IMPLEMENTACION DE UN SISTEMA DE GESTION

DE RIESGOS A UNA PYME COLOMBIANA DEDICADA A LA TRANSFORMARCION DEL VIDRIO

HUGO GIOVANNI GUEVARA NAVARRETE

Trabajo de grado para optar por el titulo de Contador Publico

Director IVÀN EDUARDO CARDONA ROZO

PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE CIENCIAS ECONÓMICAS Y ADMINISTRATIVAS

DEPARTAMENTO DE CIENCIAS CONTABLES CARRERA DE CONTADURÍA PÚBLICA

BOGOTÁ D.C. 2011

iii

TABLA DE CONTENIDO

Pág.

INTRODUCCIÓN .................................................................................................. viii

1. ACERCA DE LOS ESTÁNDARES DESTACADOS DE PRÁCTICAS EN

GESTIÓN Y ADMINISTRACIÓN DE RIESGO ........................................................ 1

1.1. COSO II: ENTERPRISE RISK MANAGEMENT: ............................................... 1

1.1.1. Componentes de la administración de riesgos – COSO II ERM: ................ 2

1.1.1.1. Ambiente interno: ........................................................................................ 3

1.1.1.2. Establecimiento de objetivos: ...................................................................... 3

1.1.1.3. Identificación de riesgos: ............................................................................. 3

1.1.1.4. Evaluación de riesgos ................................................................................. 3

1.1.1.5. Respuesta al riesgo: ................................................................................... 3

1.1.1.6. Actividades de control: ................................................................................ 4

1.1.1.7. Información y comunicación: ....................................................................... 4

1.1.1.8. Monitoreo (Supervisión): ............................................................................. 4

1.1.2. Relación entre objetivos y componentes........................................................ 4

1.1.2.1. Efectividad: ................................................................................................. 6

1.1.2.2. Limitaciones: ............................................................................................... 7

1.1.2.3. Inclusión del Control Interno: ...................................................................... 7

1.1.2.4. Roles y Responsabilidades: ........................................................................ 7

1.2. NTC5254:2006 GESTIÓN DE RIESGO: ........................................................... 8

1.2.1. Visión general del proceso de gestión de riesgo: ......................................... 10

1.2.1.1. Comunicación y consulta: ......................................................................... 10

1.2.1.2. Establecer el contexto: .............................................................................. 10

1.2.1.3. Identificar riesgos: .................................................................................... 11

1.2.1.4. Analizar riesgos: ...................................................................................... 11

1.2.1.5. Evaluar riesgos: ....................................................................................... 11

iv

1.2.1.6. Tratar los riesgos: ..................................................................................... 12

1.2.1.7. Monitoreo y revisión: ................................................................................ 12

1.3. ISO 31000:2009 GESTIÓN DE RIESGOS - PRINCIPIOS Y DIRECTRICES. 12

1.3.1. ISO 31010:2009 Gestión de riesgos – Técnicas de Evaluación de Riesgos: .

........................................................................................................................ 13

2. CARACTERISTICAS DE LAS PYMES Y SU ADMINISTRACIÓN:

IMPLICACIONES EN EL CONTROL DE RIESGOS Y PRESENTACION DE LA

EMPRESA VIDRIO AL ARTE E.U. ....................................................................... 15

2.1. ESTADO Y PERSPECTIVA ACTUAL DE LAS PYMES EN COLOMBIA. ....... 15

2.1.1. Definición de Pymes: ................................................................................... 15

2.1.2. Aproximaciones a la problemática de las Pymes.: ....................................... 17

2.1.3. Situación de la PYME en Colombia: ............................................................ 18

2.1.3.1. Artículos de la prensa Colombiana con temas de problemática actual de

las Pymes en Colombia. ........................................................................................ 19

2.2. DESCRIPCIÓN Y ESTADO ACTUAL DE LA PYME VIDRIO AL ARTE E.U.: ..

........................................................................................................................ 21

2.2.1. Empresa: ...................................................................................................... 21

2.2.2. Estado Actual de Vidrio al Arte E.U.: ........................................................... 21

2.2.2.1. Gestión de Riesgo: ................................................................................... 21

2.2.2.2. Contabilidad y Finanzas: ........................................................................... 21

2.2.2.3. Control de Costos: .................................................................................... 22

2.2.2.4. Capital de Trabajo: .................................................................................... 22

2.2.2.5. Centralización de la Gestión: .................................................................... 22

2.2.2.6. Indicadores: .............................................................................................. 22

3. PROPUESTA Y APLICACIÓN DE ASESORIA PARA LA

IMPLEMENTACIÒN DE UN SISTEMA DE GESTIÓN DE RIESGOS PARA LA

EMPRESA VIDRIO AL ARTE EU. ........................................................................ 23

v

3.1 FASE 1: IDENTIFICACIÓN DE LA CADENA DE VALOR Y DESCRIPCIÓN DE

ACTIVIDADES. ...................................................................................................... 23

3.2 FASE 2: IDENTIFICACIÓN DE RIESGOS EN LAS ACTIVIDADES QUE

COMPONEN LA CADENA DE VALOR ................................................................. 30

3.3 FASE 3: ANÁLISIS Y VALORACIÓN INICIAL DE LOS RIESGOS .................. 32

3.4 FASE 4: RECOMENDACIONES ...................................................................... 38

CONCLUSIONES .................................................................................................. 43

BIBLIOGRAFIA ..................................................................................................... 44

vi

LISTA DE GRAFICOS

Pág.

Gráfico 1. Relaciones entre COSO I y COSO II ....................................................... 2

Gráfico 2. Componentes de la administración de riesgos ........................................ 5

Gráfico 3. Elementos que conforman el proceso de gestión de riesgo .................. 10

Gráfico 4. Propuesta para graficar la cadena de valor .......................................... 23

Gráfico 5. Cadena de valor ................................................................................... 25

Gráfico 6. Mapa Jerárquico ................................................................................... 28

Gráfico 7. Estados Financieros ............................................................................. 29

Gráfico 8. Hoja de Trabajo .................................................................................... 31

Gráfico 9. Matriz de análisis cualitativo de riesgo inherente ................................. 32

Gráfico 10. Matriz de análisis cualitativo de riesgo inherente aplicada ................. 34

Gráfico 11. Clasificación de Riesgos ..................................................................... 35

Gráfico 12. Escenarios de criticidad de riesgo por proceso .................................. 36

vii

LISTA DE TABLAS

Pág.

Tabla 1. Escenarios de criticidad de riesgo por proceso ........................................ 36

Tabla 2. Criticidad de Riesgos – Muy alto ............................................................. 37

Tabla 3. Criticidad de Riesgos – Alto ..................................................................... 37

Tabla 4. Criticidad de Riesgos – Medio ................................................................. 38

viii

INTRODUCCIÓN

La adaptación de las PYMES colombianas para su crecimiento en el mercado nacional y el acceso al global implica la realización de importantes transformaciones, en donde se exigen nuevos conocimientos y una nueva cultura que conlleva a un rompimiento de paradigmas que le den importancia a la administración de riesgo, y de tal manera procurar la existencia de este tipo de organizaciones que son la base económica de las familias colombianas por ser su fuente de ingresos y de una u otra manera el resultado de un largo tiempo de esfuerzos, dedicación y capital. Las PYMES en Colombia pueden considerarse como el sector de mayor vulnerabilidad frente a los procesos de internacionalización comercial que en el ámbito económico nacional se están desplegando. Empezando por las micro y las pequeñas empresas, la estructura y su nivel de recursos humanos, financieros, tecnológicos y la carencia de planes de continuidad del negocio se convierten en limitantes para el avance en desarrollos que favorezcan su competitividad; sin embargo, en muchos aspectos es la cultura gerencial y la manera en que se perciben y acometen diversas situaciones de su ámbito, lo que más dificulta enfrentar los riesgos por su naturaleza reactiva y no proactiva. En tal sentido, este ensayo aborda un tema que en el segmento empresarial de las Pymes no suele suscitar el mayor interés y que en algunos casos es considerado como un gasto innecesario; sin embargo, debería considerarse como una inversión clave que ayude al logro de los objetivos de la empresa. La implementación de un sistema de gestión de riesgos es una forma de identificar riesgos y oportunidades, que permita brindar herramientas para que el empresario tenga la capacidad de toma de decisiones y adquirir la habilidad para enfrentar los riesgos, identificar eficientemente oportunidades y evitar pérdidas, pero no asegura por sí solo el éxito o la consecución de objetivos si no hay un compromiso general hacia la cultura de riesgo. La PYME en Colombia, al igual que en la mayoría de los países, son el motor de la economía, según un estudio realizado con datos del DANE de 2005, llevado a cabo por Propaís a través del Observatorio Colombiano de las Microempresas (OCM), estas representan el 96% del total de las empresas con 1.338.220 establecimientos y dentro de esa porción están las sociedades unipersonales con 49.7% generando más del 50% del empleo nacional, lo cual demuestra su importancia y su gran potencial de crecimiento, por lo que no se debe olvidar que existen diversas debilidades que deben ser superadas, más cuando se trata de aspectos claves para la competitividad.1

1 El mundo de las Pymes. En: La Nota Económica, Octubre 2010, p.10.

ix

Una de estas debilidades es el tema del gerenciamiento del riesgo, tema central del ensayo; la conclusión se extrae como producto de una investigación de las pymes colombianas, en donde se resaltan deficiencias de estas empresas, las cuales impiden el control de riesgos inherentes y exógenos, que ponen en riesgo la competencia y permanencia en el mercado de las mismas. Como producto de lo anterior, este documento tiene como propósito presentar y discutir la experiencia realizada en la Pyme Vidrio al Arte EU. relacionada con la asesoria en la implementación de un sistema de gestión de riesgos que le permita identificar y valorar eventos negativos, prevenir pérdidas y tomar decisiones con el fin de ayudar a la continuidad del negocio y lograr resultados esperados en cada una de sus actividades. Vidrio al Arte EU, es una empresa unipersonal fundada en1992, dedicada a los servicios de perforación, pulido y sandblasting de vidrio (pulir con chorro de arena) para uso residencial y comercial. Esta empresa no cuenta con un sistema estructurado de gestión de riesgo, demostrado con una carencia de planes de continuidad, sin embargo se debe recalcar que es una empresa sana con ventas crecientes, arroja utilidades, mantiene un flujo de caja positivo y un nivel de endeudamiento moderado. Luego de la presentación ante el propietario y gerente, en donde se expuso la posibilidad de hacer un análisis de la empresa, con el fin de asesorar la implementación de un modelo de gestión de riesgos, surgieron las siguientes preguntas por parte del propietario:

¿Qué beneficios puede traer implementar un sistema de gestión de riesgo a la empresa? ¿Cómo se implementa un sistema de gestión de riesgo? ¿Cuáles son las áreas claves en donde se deben enfocar mayores controles?

Derivado de lo anterior, surge el siguiente cuestionamiento, sobre el cual se centra el documento: ¿Cómo se puede fortalecer la pyme Vidrio al Arte EU. Frente a los riesgos que impidan su continuidad y el resultado esperado de sus actividades y de tal forma que pueda ser proactiva en lugar de reactiva al riesgo? La metodología utilizada para desarrollar esta experiencia fue la investigación de las características y administración de las PYMES en Colombia, en la cual se evidencia una ausencia de cultura de riesgo, continúa con la identificación de la situación actual de la compañía Vidrio al Arte EU. por medio de entrevistas y reuniones con su propietario, con el fin de conocer la actividad de la empresa, sus procesos y estructura general de la compañía, posteriormente se realiza una

x

formulación y aplicación de una propuesta para implementar un sistema de gestión de riesgo, con limitación en la fase de evaluación de riesgos, porque la gerencia no presentó documentos, ni se logró presenciar las actividades para evaluar el impacto de los controles sobre los riesgos. Dicha limitación impidió continuar con la fase de tratamiento de riesgos y posterior monitoreo, razón por la que se elabora una serie de recomendaciones a la empresa, para que la gerencia complemente el trabajo realizado con el propósito de obtener la efectividad del sistema de gestión de riesgo. La estructura del ensayo está compuesta de la siguiente manera: Estándares destacados de prácticas en gestión y administración de Riesgo: Donde se desarrollan los aspectos determinantes con lo que se soporta la propuesta del sistema de gestión de riesgo en la Pyme seleccionada.

Carácter de la pymes y su administración: Implicaciones en el control de riesgos y presentación de la empresa Vidrio al Arte: Se tratan temas de las pymes en Colombia, y por otra parte la descripción de la Pyme seleccionada y situación actual de la compañía. Propuesta del sistema de gestión de riesgos y aplicación de dicha propuesta en la Pyme: en esta parte se indican las fases necesarias para desarrollar el sistema de gestión de riesgos y se expone el resultado del trabajo en equipo con el propietario de la empresa en donde se identifica la cadena de valor, los riesgos, su valoración y representación en la matriz de riesgos.

1

1. ACERCA DE LOS ESTÁNDARES DESTACADOS DE PRÁCTICAS EN GESTIÓN Y ADMINISTRACIÓN DE RIESGO

Teniendo en cuenta el propósito de este ensayo, se realiza un aporte profesional donde se reúnen los estándares generalmente aceptados en gestión de riesgos de manera generalizada y sencilla, que sean aplicables a cualquier pyme Colombiana y que para efectos de este documento se estudian para poder asesorar a Vidrio al Arte EU. en su implementación, que permita convertirse en herramienta para identificar riesgos, oportunidades, evitar pérdidas y generar habilidades en la toma de decisiones. 1.1. COSO II: ENTERPRISE RISK MANAGEMENT: Este estándar generalmente aceptado es referenciado por el aporte que realiza a la implementación de un sistema de gestión de riesgo, por la influencia que maneja a nivel internacional, reflejada en la gran acogida por entidades gubernamentales y privadas con marcos de referencia que contribuyen al análisis de actividades y mejores prácticas empresariales. Resultado de la recopilación de grandes encuestas con directores de empresas a nivel mundial donde ha obtenido conocimiento de la situación actual y expectativas de los empresarios en temas de gestión, que le atribuye una gran responsabilidad de mejoras continuas a sus marcos de referencia. The Committee of Sponsoring Organizations of the Treadway Commission (COSO) es una iniciativa conjunta de cinco organizaciones del sector privado que se enumeran a continuación: The American Accounting Association (AAA), The American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), y The Institute Management Accountants (IMA).2 De los documentos que ha generado COSO, en este ensayo se resaltan el Marco Integrado de Control Interno publicado en 1992 y el Marco Integrado de para la Gestión del Riesgo Empresarial (ERM) del 2004. La última versión es una ampliación del Informe original, para dotar al Control Interno de un mayor enfoque hacia la gestión del riesgo.3

2 The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponible en la Web:

http://www.coso.org. Revisado Junio 2011 3 Nasaudit, Red de Conocimientos Especializada en Auditoría. “COSO II: Enterprise Risk Management”, 31/07/2009,

Disponible en la Web: http://actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-

COSO_II_Enterprise_Risk_Management_Primera_Parte.pdf. Revisado Junio 2011

2

Para iniciar se muestra el siguiente gráfico que ilustra los componentes iniciales de COSO I y la ampliación de COSOII, así: Gráfico 1. Relaciones entre COSO I y COSO II

Fuente: Nasaudit, Red de Conocimientos Especializada en Auditoría. “COSO II: Enterprise Risk

Management”, 31/07/2009, Disponible en la Web: http://actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-COSO_II_Enterprise_Risk_Management_Primera_Parte.pdf

1.1.1. Componentes de la administración de riesgos – COSO II ERM4: La gestión de riesgos corporativos consta de ocho componentes relacionados entre sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión. A continuación, se describen estos componentes:

1. Ambiente interno 2. Establecimiento de objetivos 3. Identificación de eventos 4. Evaluación de riesgos 5. Respuesta a los riesgos 6. Actividades de control 7. Información y comunicación 8. Supervisión

4 The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponible en la Web:

http://www.coso.org/documents/COSO_ERM_ExecutiveSummaryspanish.pdf

3

1.1.1.1. Ambiente interno: El ambiente interno abarca el tono de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de administración de riesgo y el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual ellos operan. 1.1.1.2. Establecimiento de objetivos: Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten su consecución. La administración de riesgos corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella, además de ser consecuentes con el riesgo aceptado. 1.1.1.3. Identificación de riesgos: Los eventos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos. Algunas técnicas de identificación de riesgos

Análisis PEST (Factores políticos ó gubernamentales, económicos, tecnológicos y sociales).

Análisis DOFA (Debilidades, oportunidades, fortalezas y amenazas) 1.1.1.4. Evaluación de riesgos: Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser administrados. Los riesgos son evaluados sobre una base inherente (propio de cada empresa de acuerdo a su actividad) y residual (después de la implementación del tratamiento del riesgo) bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento) e impacto (su efecto debido a su ocurrencia), con base en datos pasados internos (pueden considerarse de carácter subjetivo) y externos (más objetivos). 1.1.1.5. Respuesta al riesgo: La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad.

4

Las categorías de respuesta al riesgo son: 5

Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo.

Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos.

Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.

Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

1.1.1.6. Actividades de control: Son las políticas y procedimientos específicos que se establecen e implantan en los procesos para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo efectivamente. 1.1.1.7. Información y comunicación: La información relevante se identifica, captura y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación efectiva debe producirse en un sentido amplio, fluyendo hacia abajo, a través, y hacia arriba de la entidad. 1.1.1.8. Monitoreo (Supervisión): La totalidad de la administración de riesgos corporativos es monitoreada y se efectúan las modificaciones necesarias. Este monitoreo se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez. La administración de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en el cual casi cualquier componente puede e influye en otro. 1.1.2. Relación entre objetivos y componentes6: Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

5 Nasaudit, Red de Conocimientos Especializada en Auditoría. “COSO II: Enterprise Risk Management”, 31/07/2009,

Disponible en la Web: http://actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-

COSO_II_Enterprise_Risk_Management_Primera_Parte.pdf. Revisado Junio 2011 6 The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponible en la Web:

http://www.coso.org/documents/COSO_ERM_ExecutiveSummaryspanish.pdf. Revisado Junio 2011

5

Gráfico 2. Componentes de la administración de riesgos

Fuente: The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponible en la Web: http://www.coso.org/documents/COSO_ERM_ExecutiveSummaryspanish.pdf

Dentro de este contexto el modelo divide los objetivos de las compañías en cuatro categorías diferentes:7

Objetivos Estratégicos: Son los establecidos al más alto nivel, y relacionados con el establecimiento de la misión y visión de la compañía.

Objetivos Operativos: Se trata de aquellos relacionados directamente con la eficacia y eficiencia de las operaciones, incluyendo por supuesto a los relacionados con el desempeño y la rentabilidad.

7 Abella Rubio, Ramón. “COSOII y La Gestión Integral de Riesgos del Negocio”. Febrero 2006. Disponible en la

Web: http://pdfs.wke.es/6/6/7/3/pd0000016673.pdf. Revisado Junio 2011

6

Objetivos relacionados con la información suministrada a terceros: Se trata de aquellos que afectan la efectividad del reporte de la información suministrada (interna y externa), y va más allá de la información estrictamente financiera.

Objetivos relacionados con el cumplimiento regulatorio: Relacionados con el cumplimiento por parte de la compañía con todas las leyes y regulaciones que le son de aplicación.

Las cuatro categorías de objetivos – estratégicos, operativos, reporte y cumplimiento – están representados por columnas verticales, los ocho componentes por filas horizontales, y las unidades de la entidad, por la tercera dimensión. Este gráfico refleja la capacidad de centrarse sobre la totalidad de la administración de riesgos corporativos de una entidad o bien por categoría de objetivos, componente, unidad o cualquier subconjunto deseado. 8 Como lo indica Coso II, el modelo de gestión de riesgo debe considerar los siguientes aspectos: 1.1.2.1. Efectividad: La afirmación de que la administración de riesgos corporativos de una entidad es “efectiva” es un juicio resultante de la evaluación de si los ocho componentes están presentes y funcionan efectivamente. Así, estos componentes también son criterios para estimar la efectividad de dicha gestión. Para que los componentes estén presentes y funcionen de forma adecuada, no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. Cuando se determine que la administración de riesgos es efectiva en cada una de las cuatro categorías de objetivos, respectivamente, el consejo de administración y la dirección tendrán la seguridad razonable de que conocen el grado de consecución de los objetivos estratégicos y operativos de la entidad, que su reporte es confiable y que se cumplen las leyes y las regulaciones aplicables. Los ocho componentes no funcionan de modo idéntico en todas las entidades. Su aplicación en las pequeñas y medianas empresas, por ejemplo, puede ser menos formal y estructurada; Sin embargo, estas entidades podrían poseer una administración efectiva de riesgos corporativos, siempre que cada componente esté presente y funcione adecuadamente. 8 The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Disponible en la Web:

http://www.coso.org/documents/COSO_ERM_ExecutiveSummaryspanish.pdf

7

1.1.2.2. Limitaciones: Aunque la administración de riesgos corporativos proporciona ventajas importantes, también presenta limitaciones. Además de los factores comentados anteriormente, las limitaciones se derivan de hechos como que el juicio humano puede ser erróneo durante la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costos y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse los controles mediante colusión de dos o más personas y que la dirección puede hacer caso omiso a las decisiones relacionadas con la administración de riesgos corporativos. Estas limitaciones impiden que el consejo de administración y la dirección tengan seguridad absoluta de la consecución de los objetivos de la entidad. 1.1.2.3. Inclusión del Control Interno: El control interno es una parte integral de la administración de riesgos corporativos. Este Marco lo incluye, constituyendo una conceptualización y una herramienta más sólida para la dirección. El control interno se define y describe en el documento Control Interno – Marco integrado. Dado que éste ha perdurado a lo largo del tiempo y es la base para las reglas, regulaciones y leyes existentes, se mantiene vigente para definir y enmarcar el control interno. 1.1.2.4. Roles y Responsabilidades: Todas las personas que integran una entidad tienen alguna responsabilidad en la administración de riesgos corporativos. El CEO (del inglés chief executive officer) es el último responsable y debe asumir su responsabilidad. Otros directivos apoyan la filosofía de administración de riesgos de la entidad, promueven el cumplimiento del riesgo aceptado y administran los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno u otros, desempeñan normalmente responsabilidades claves de apoyo. El restante personal de la entidad es responsable de ejecutar la administración de riesgos corporativos de acuerdo con las directrices y protocolos establecidos. El consejo de administración desarrolla una importante supervisión de la administración de riesgos corporativos, es consciente del riesgo aceptado por la entidad y está de acuerdo con él. Algunos terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas financieros, proporcionan a menudo información útil para el desarrollo de la administración de riesgos corporativos, aunque no son responsables de su efectividad en la entidad ni forman parte de la administración de riesgos corporativos.

8

La auditoría interna juega un rol clave en la continuidad del funcionamiento del ERM, evaluando objetivamente su aplicación y efectividad. En su rol apoyan a la Gerencia proveyendo seguridad sobre:

El proceso de ERM – su diseño y su funcionamiento.

La efectividad y eficiencia de la respuesta al riesgo y las actividades de control relacionadas.

Integridad y exactitud en reportar ERM.

En algunos casos también actúan en un rol de consultores.

Promover el desarrollo de un entendimiento del ERM.

Promover herramientas y técnicas para ayudar a la gerencia en el análisis de riesgos y diseño de actividades de control.

1.2. NTC5254:2006 GESTIÓN DE RIESGO: Como segundo referente teórico tenemos la NTC5254:2006 que proviene del Estándar Australiano de Administración de Riesgos AS/NZS 4360 de 1999, el cual cuenta con la general aceptación a nivel internacional ya que “provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos”9. Este marco de gestión de riesgos fue adoptado en Colombia a través de la NTC 5254:2006 publicada por el Instituto Colombiano de Normas técnicas y Certificación ICONTEC, entidad de carácter privado, sin ánimo de lucro, cuya misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. Como lo indica la NTC5254:2006, para lograr un eficiente control dentro de una organización se debe realizar gestión de riesgo que es un proceso de negocio clave dentro del sector público y privado alrededor del mundo. Una implementación sólida y eficaz de la gestión de riesgo es parte de una óptima práctica empresarial a nivel corporativo y estratégico, al igual que un medio de mejorar las actividades operacionales. La gestión de riesgo es un proceso de gestión holístico aplicable a todo tipo de organizaciones a todo nivel e individuos.10

9 Estándar Australiano. Administración de Riesgos. AS/NZS 4360:1.999. 10 ICONTEC. NTC5254:2006 Gestión de Riesgo.

9

En términos generales la gestión de riesgo es un proceso que ayuda a tomar decisiones a la hora de elegir el nivel de riesgo a que está dispuesta a afrontar una compañía, identificando variables potenciales que nos lleven a maximizar oportunidades y minimizar pérdidas. Lo que traduce que durante todas las fases de la gestión de riesgo la empresa está en capacidad de elegir el nivel de riesgo que quiera asumir. Para entender el propósito de la gestión de riesgo es importante tener en cuenta los siguientes conceptos:

Consecuencia: Resultado o impacto de un evento.

Evaluación del control: Revisión sistemática de los procesos para garantizar que los controles sean eficaces y adecuados.

Evento: Ocurrencia de un conjunto particular de circunstancias.

Frecuencia: medición del número

Posibilidad. Se usa como descripción general de la probabilidad o la frecuencia.

Monitorear. Verificar, supervisar o medir regularmente el progreso de una actividad, acción o sistema para identificar los cambios en el nivel de desempeño requerido.

Probabilidad. Medida de la oportunidad de ocurrencia expresada como un número entre 0 y 1.

Riesgo. La eventualidad que suceda algo que tendrá impacto en los objetivos.

Riesgo residual. Riesgo remanente después de la implementación del tratamiento del riesgo.

Valoración del riesgo. Proceso total de identificación, análisis y evaluación del riesgo.

Criterios del riesgo. Términos de referencia mediante los cuales se evalúa la importancia del riesgo.

Reducción del riesgo. Acciones que se toman para reducir la posibilidad y consecuencias asociadas a un riesgo.

10

1.2.1. Visión general del proceso de gestión de riesgo: Los principales elementos del proceso de gestión de riesgo, como se ilustra en la siguiente figura son: Gráfico 3. Elementos que conforman el proceso de gestión de riesgo Fuente: ICONTEC. NTC5254:2006 Gestión de Riesgo.

1.2.1.1. Comunicación y consulta: Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo. Según el cuadro anterior, se plasma un flujo de manera sencilla e indica cómo puede empezar el empresario de una pyme a ejercer su gestión de riesgo, el primer pasó sería el proceso de comunicación y consulta puede vincular a sus “stakeholders” dentro del tratamiento de control de riesgo, en una relación gana-gana, donde al involucrarlos pueden identificar sus necesidades haciéndolos parte del proceso por incidentes de riesgo y así puedan agregar valor en la gestión de riesgo y si es necesario incurrir en costos adicionales que ellos pueden estar dispuestos a asumir para minimizar el riesgo, con lo que se obtendría confianza y objetividad y a su vez mejorar el tratamiento efectivo de los riesgos. 1.2.1.2. Establecer el contexto: Define parámetros básicos dentro de los cuales se deben gestionar los riesgos y establece el alcance para el resto del proceso de

11

gestión de riesgo. El contexto incluye el ambiente interno y externo de la organización y el proceso de la actividad de gestión del riesgo. También incluye la consideración de la interfase entre los ambientes interno y externo. Para ampliar la información anterior la etapa de establecer el contexto se refiere a definir el campo de acción para gestionar los riesgos y así establecer el alcance del sistema de control, el empresario debe analizar tanto el ambiente externo del negocio como el interno donde se mueve para identificar su matriz DOFA que es una herramienta que ayuda al análisis de estos ambientes, y así comprender su organización en cuanto a su cultura, estructura, capacidad de personal, sistemas, procesos y capital. 1.2.1.3. Identificar riesgos: Esta fase busca identificar los riesgos que se han de gestionar. La identificación exhaustiva usando un proceso sistemático bien estructurado es crítica porque un riesgo no identificado en esta etapa puede ser excluido del análisis posterior. La identificación debería incluir los riesgos, estén o no bajo el control de la organización. Después de los dos puntos anteriores se deben identificar los riesgos existentes de las fuentes de riesgo y de los eventos que puedan alterar la consecución de los objetivos propuestos, después de identificarlos es necesario determinar las posibles causas y escenarios en que estos puedan ocurrir. Es debido aclarar que en este proceso es importante que interactúen las partes involucradas ya que estas pueden llegar a ser una fuente de riesgo. 1.2.1.4. Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran. Estas pueden ser combinadas para producir un nivel estimado de riesgo. En esta etapa se debe entender el riesgo y si es eficiente tratarlo dependiendo el costo y sus posibles resultados, el análisis conlleva a considerar las fuentes del riesgo y sus consecuencias positivas o negativas, cualitativas o cuantitativas y la probabilidad de ocurrencia, teniendo en cuenta lo anterior debe someterse a examen los controles existentes. Es la oportunidad para excluir los riesgos de bajo impacto siempre y cuando se documente como prueba de un análisis detallado. 1.2.1.5. Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos. La evaluación de riesgos implica la confrontación del nivel de riesgo hallado contra los objetivos de la empresa, para decidir el nivel de pérdidas potenciales que se desea afrontar, donde una mayor exposición al riesgo traduce una mayor ganancia

12

potencial dependiendo el contexto en que se encuentre la compañía. Debemos ser enfáticos en que los criterios de evaluar los riesgos deben ir muy de la mano con los objetivos de la organización, su contexto y nivel de riesgo tolerado por las partes involucradas. 1.2.1.6. Tratar los riesgos: Implica la identificación de opciones para abordar y dar respuesta a los riesgos, la valoración de tales opciones y la preparación e implementación de los planes de tratamiento. Este nivel nos lleva a la identificación de las diferentes opciones que pueden dar tratamiento a los riesgos por medio de un plan que optimice la oportunidad de ocurrencia de riesgos con resultados positivos y tratar los riesgos con resultados negativos evitando la actividad que genera el riesgo si es factible o aplicando un sistema de administración del riesgo que arroje uno residual tolerable de acuerdo con los objetivos de la compañía. 1.2.1.7. Monitoreo y revisión: Es necesario monitorear la eficacia de todas las etapas del proceso de gestión del riesgo. Esto es importante para la mejora continua. Luego de la implantación del sistema de administración de riesgo este debe mantenerse bajo revisión para evaluar su eficiencia y mejora continua, otro aspecto que sustenta el monitoreo es la aparición de nuevos riesgos o la transformación de los ya existentes. La gestión de riesgo se puede aplicar en muchos ámbitos de una organización, en los niveles estratégico, táctico y operacional y en la toma de decisiones específicas o para mejorar áreas reconocidas de riesgo. 1.3. ISO 31000:2009 GESTIÓN DE RIESGOS - PRINCIPIOS Y DIRECTRICES. Como tercer referente teórico esta la ISO 31000:2009, emitida por la Organización Internacional de Normalización o ISO, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. La ISO 31000:2009 se basa en el estándar AS/NZS 4360:2004. La norma expone principios y directrices más explícitos de carácter genérico sobre la gestión del riesgo, recomienda la mejora continua de la estructura de administración de los mismos, puede ser utilizada por cualquier empresa pública, privada o de la

13

comunidad, asociación, grupo o individuo. Por lo tanto, la norma no es específica de cualquier industria o sector; se puede aplicar a lo largo de la vida de una organización y a una amplia gama de actividades, incluidas las estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos. Así como a cualquier tipo de riesgo definiendo este como la incertidumbre para el logro de objetivos, cualquiera que sea su naturaleza, tanto si tiene consecuencias positivas o negativas. No tiene intención de promover la uniformidad de la gestión de riesgos en las organizaciones. 11

1.3.1. ISO 31010:2009 Gestión de riesgos – Técnicas de Evaluación de Riesgos: Al igual que la ISO 31000 la ISO 31010 fue publicada en el año 2009, desarrolla las técnicas de evaluación de riesgos ampliando la información expuesta en la norma ISO 31000 definiéndose como el conjunto de normas referentes a la gestión de riesgo. Esta norma soporta la norma ISO 31000 y proporciona orientación sobre la selección y aplicación de técnicas sistemáticas para la evaluación de riesgos12. Su objetivo principal es lograr la comprensión de las organizaciones frente a los riesgos, los cuales pueden afectar lograr los objetivos propuestos y la consideración de adecuación y eficacia de los controles que tienen las organizaciones, propone una metodología para el tratamiento de los riesgos y brinda herramientas para tomar mejores decisiones a través de las buenas prácticas empresariales13. Los referentes teóricos expuestos, fueron mencionados en este trabajo de grado, porque son estándares de general aceptación a nivel internacional y se consideraron como fuente de información vanguardista y útil para el desarrollo de una asesoría en la implementación de un sistema de gestión de riesgo para la Pyme Vidrio Al Arte EU., cuentan con una metodología integral en pro de la consecución de los objetivos deseados y son un medio para crear valor, entre sus bondades está su idioma sencillo que permite la fácil aplicación a cualquier tipo de persona u organización. Los marcos de referencia presentados anteriormente incluyen elementos comunes como lo son la identificación, análisis, evaluación, tratamiento y monitoreo de riesgos; elementos que serán utilizados para desarrollar la propuesta y aplicación de la misma, en la asesoría de implementación de un sistema de gestión de

11 International Organization for Standardization ISO. Disponible en la web: http://www.iso.org. Revisado Junio 2011 12 International Organization for Standardization ISO. Disponible en la web: http://www.iso.org. Revisado Junio 2011 13 Gestión de Riesgos y Conformidad Normativa. Disponible en la web:

http://gestionriesgos2011.blogspot.com/2011/03/iso-iec-31010.html. Revisado Junio 2011

14

riesgo, en la empresa Vidrio al Arte EU., de tal manera que ésta empresa pueda continuar mejorando dicho sistema. El Estándar Australiano de Administración de Riesgos AS/NZS 4360 de 1999, adoptado en Colombia por Instituto Colombiano de Normas técnicas y Certificación ICONTEC por medio de la NTC 5254:2006, realiza un aporte significativo a este trabajo de grado porque es tomado como base técnica para el desarrollo de la fase de identificación de riesgos, a través de papeles de trabajo propuestos por la norma, que incluye fuente de riesgo, riesgo y consecuencia, seguido del análisis y valoración de riesgo con una matriz de análisis cualitativo, que determina el nivel de impacto de los riesgos a través de una clasificación de probabilidad e impacto.

15

2. CARACTERISTICAS DE LAS PYMES Y SU ADMINISTRACIÓN: IMPLICACIONES EN EL CONTROL DE RIESGOS Y PRESENTACION

DE LA EMPRESA VIDRIO AL ARTE E.U.

A continuación se expone la problemática actual de las PYMES en Colombia que motivó la realización de documento, seguido de una descripción del estado actual de la PYME seleccionada Vidrio al Arte EU. donde se evidencia la ausencia de un sistema de gestión de riesgos. 2.1. ESTADO Y PERSPECTIVA ACTUAL DE LAS PYMES EN COLOMBIA. 2.1.1. Definición de Pymes: En Colombia la Ley 905 de 2004, señala que para todos los efectos, se entiende por micro, incluidas las famiempresas, pequeñas y medianas empresas, toda unidad de explotación económica, realizada por personas naturales o jurídicas, en actividades empresariales, agropecuarias, industriales, comerciales o de servicios, rurales o urbanas, que responda dos de los siguientes parámetros:14

Mediana empresa: a) Planta de personal entre 51 y 200 trabajadores, o b) Activos totales por valor entre 5.001 a 30.000 salarios mínimos

mensuales legales vigentes.

Pequeña empresa: a) Planta de personal entre 11 y 50 trabajadores, o b) Activos totales por valor entre 501 y menos de 5.000 salarios mínimos

mensuales legales vigentes.

Microempresa: a) Planta de personal no superior a 10 trabajadores, o b) Activos totales excluida la vivienda por valor inferior a 500 salarios

mínimos mensuales legales vigentes. Esta definición corresponde a los límites que para cada tipo de empresa, emplea el Estado colombiano, para el desarrollo de sus políticas y demás normatividad de apoyo y regulación de los diferentes campos en que se actúa con respecto a las PYMES.

14 Ley 905 de 2004. República de Colombia. 2004.

16

Sin embargo, es de anotar que a nivel internacional cada país determina su propia definición con base en sus propios contexto económico y empresarial. Por otra parte, las instituciones que en el ámbito internacional estudian y regulan el campo contable y financiero, promueven unas clasificaciones que tienen que ver con la necesidad de hacer más especificas las exigencias de registro y generación de información contable y financiera, para cada tipo de empresa, según sus características, limitaciones y necesidades, en el marco del escenario de su propio país. En este sentido, el Grupo Consultivo Especial de Expertos en Contabilidad de las Pequeñas y Medianas Empresas - ISAR15 ha propuesto unas definiciones genéricas, para que a criterio de cada país puedan emplearse. Estas son:

- NIVEL I (cumplimiento íntegro de las Normas Internacionales de Contabilidad - IAS): Comprende todas las empresas que emiten valores públicos o presentan un gran interés público, así como los bancos y los establecimientos financieros. Por gran interés público se entiende tener un número suficiente de trabajadores para estar entre el primer 10% de los empleadores del país. En consecuencia, el Grupo Consultivo ha intentado abarcar por lo menos una parte de esas empresas añadiendo un umbral de empleo como parte de la definición del nivel I. Esta definición significa que cuando una empresa esté entre el primer 10% de una lista de empleadores clasificados según el número de trabajadores, estaría obligada a cumplir íntegramente las IAS. No obstante, puede haber otras maneras de llegar a una definición que incluya como criterio a los grandes empleadores del país.

- NIVEL II (cumplimiento parcial de las IAS): Comprende las empresas de

cierta entidad comercial que no emiten valores públicos ni publican informes financieros destinados al público en general. Estas empresas podrían tener accionistas que no formen parte de la dirección de la empresa, contarían con personal contable propio capaz de seguir la pista de las transacciones y vigilar la situación crediticia de la empresa, y tendrían algo más que unos pocos empleados.

- NIVEL III (contabilidad acumulativa simple): Lo componen las pequeñas

empresas que están administradas por su propietario y tienen pocos trabajadores. Las empresas de reciente creación o las que entran por primera vez en la economía formal estarían autorizadas, excepcionalmente, a llevar una contabilidad de caja.

15 LA CONTABILIDAD DE LAS PEQUEÑAS Y MEDIANAS EMPRESAS. Conferencia de las Naciones Unidas sobre

Comercio y Desarrollo. Grupo de Trabajo Intergubernamental de Expertos en Normas Internacionales de Contabilidad y

Presentación de Informes. Ginebra, 2001.

17

En Colombia estas observaciones no han sido adoptadas y persiste el modelo que se señaló anteriormente, fijado por la Ley 905 de 2004. 2.1.2. Aproximaciones a la problemática de las Pymes.16: No se puede desconocer que las pequeñas y medianas empresas son un factor fundamental en la generación de empleo y en el crecimiento de un país. Es innegable, que las PYMES son el segmento empresarial que más barreras afronta para su desarrollo. Los principales obstáculos que tienes las Pymes para su desarrollo, que provienen de problemas internos como externos, que les impide llevar a cabo procesos de fortalecimiento y expansión como son:

Restricciones al Crédito.

Dificultades en la identificación y acceso a la tecnología adecuada.

Formalización y absorción de nuevas tecnologías.

Limitaciones técnicas y competitivas que imponen las escalas de producción.

La deficiente infraestructura física.

Falta de asociatividad empresarial.

Carencia de directivos con capacidad gerencial y pensamiento estratégico.

Dificultad de cimentar la articulación del sector con la gran empresa y con los sistemas de compras estatales.

La inestabilidad política, la inflación, la tasa de cambio.

La delincuencia común.

Los altos impuestos.

La corrupción en diferentes ámbitos, entre otros.

16 Revista ScientiaEtTechnica Año XIII, No 34, Mayo de 2007. Universidad Tecnológica de Pereira Página 322

18

En muchas latitudes, la preocupación parece ser la misma: las empresas nuevas, las pequeñas, y con capital familiar son las que enfrentan mayores restricciones crediticias.17. Los principales problemas son el manejo y suministro de información financiera y contable, es decir, algunas no llevan registros contables adecuados y no saben estructurar adecuadamente los proyectos financieros cuando solicitan un crédito.18 En principio el problema radica en el poco conocimiento que las entidades financieras que tienen de las PYMES, por la poca disponibilidad y confiabilidad de la información que las empresas PYME suministran; y existe un gran desconocimiento, por parte de los empresarios, de las diferentes opciones que ofrece el mundo de las finanzas, los empresarios PYME no cuentan con la información suficiente, o es posible que la calidad de la información genere dudas, todo por carecer de asesoría profesional especializada. Según lo anterior el problema radica en que las PYMES no cuentan con agentes especializados para la financiación de este tipo de empresas, esta situación conlleva a que muchos del sector de PYMES acudan desesperados a mercados informales, donde los agiotistas cobran tasas de interés muy altas que impiden la posibilidad de acumulación y crecimiento de las empresas y repercuten en un rezago tecnológico lo que conlleva a bajar la productividad, se estimula la informalidad empresarial y aumentan las tasas de desaparición de empresas.19 2.1.3. Situación de la PYME en Colombia: Según un estudio realizado con datos del DANE de 2005, realizado por Propaís a través del observatorio Colombiano de las Microempresas (OCM), estás representan el 96% del total de las empresas con 1.338.220 establecimientos y dentro de esta porción están las sociedades unipersonales con 49.7% generando más del 50% del empleo nacional, lo cual demuestra su importancia y su gran potencial de crecimiento, por lo que no se debe olvidar que existen diversas debilidades que deben ser superadas, más cuando se trata de aspectos claves para la competitividad.20

17 BECK, Demriguc-Kunt, Macksivovic. Banco Mundial. 2003, 18 ASOBANCARIA. La semana Económica- No.495. Febrero de 2006. 19 Revista ScientiaEtTechnica Año XIII, No 34, Mayo de 2007. Universidad Tecnológica de Pereira Página 324 20 Nota Económica – Octubre 2010

19

2.1.3.1. Artículos de la prensa Colombiana con temas de problemática actual de las Pymes en Colombia.

El 54% de las pyme no está preparado para siniestros naturales21 De acuerdo con una encuesta de la firma Symantec, 54% de las pequeñas y medianas empresas de Latinoamérica y sus clientes no cuentan con un plan de recuperación ante desastres naturales. Según el estudio, realizado entre más de 1,840 pymes de 23 países, entre los que se encuentran Colombia, Argentina, Brasil, Chile y México de, la mayoría de empresarios no tienen la preparación ante desastres como una prioridad a menos que sufran un incidente o pérdida de información. Los hallazgos de este informe también revelan que el costo de no estar preparado es alto, lo que podría colocar en riesgo las operaciones de las pyme y de las pequeñas compañías. Según la encuesta, los tiempos de inactividad podrían llegar a costarle a las pyme hasta USD$12.250 diarios. Para minimizar las posibles dificultades, se le recomienda a las empresas ser precavidas con sus sistemas de información, involucrar a los empleados, hacer pruebas con frecuencia, y revisar la efectividad de su plan de acción.

Pymes: a entregar manejo a la segunda generación22

En Colombia las empresas familiares pasan por un momento de cambio generacional importante, ya que el 75,8 por ciento de estas firmas está en manos de la primera generación. Sin embargo, dar el paso no es fácil, pero es necesario. El consultor y experto de Suárez y Asociados, Édgar Suárez, asegura que "estamos ante un momento de tránsito generacional importantísimo, de primera a segunda generación, y es en estos procesos donde se concentra la mayor causa de mortalidad de las empresas familiares".

21 Ávila Sánchez Liliana. El 54% de las pyme no está preparado para siniestros naturales. Periódico La Republica.

Publicado: 19.01.2011. Disponible en la Web: http://www.larepublica.com.co/archivos/PYMES/2011-01-19/el-54-de-las-

pyme-no-esta-preparado-para-siniestros-naturales_119528.php 22 Sánchez María Isabel. Pymes: a entregar manejo a la segunda generación. Periódico La Republica.

Publicado: 27.09.2010. Disponible en la Web; http://www.larepublica.co/archivos/PYMES/2010-09-27/pymes-a-entregar-

manejo-a-la-segunda-generacion_111389.php. Revisado Junio 2011

20

Por lo anterior, dice que es necesario tratar las firmas "con especial cuidado, fortaleciéndolas con herramientas que permitan que esa transición generacional no sea traumática y las empuje hacia un modelo de cultura organizacional que las fortalezca, en lugar de menguarlas". Durante el foro se abarcarán temas como las estadísticas que se manejan en Colombia, las ventajas y fortalezas de las empresas familiares, las situaciones por las que atraviesan debido a sus especiales características y cómo se interrelacionan los diferentes tipos de personas que en ellas intervienen. Si bien es cierto que estas empresas tienen una fortaleza que descansa en su cultura organizacional y viene marcada desde la familia, éste también puede ser su punto más vulnerable, porque en la gran mayoría de casos la familia no sabe cómo acercarse a la compañía ni cómo manejarla adecuadamente. "En este punto es donde los consultores intervenimos, aconsejándolas sobre protocolos de familia, acuerdos de gobernabilidad a nivel empresarial y familiar, los medios para proteger el patrimonio de la empresa y de los integrantes de la familia, los esquemas de planeación estratégica, entre otros", manifestó. Expone que el 90,2 por ciento de las empresas familiares en Colombia no han suscrito un documento que regule las relaciones de la familia con la empresa, ni de los mismos familiares entre sí, que es la principal causa de los problemas. Sobre los procesos de comercio exterior en las empresas familiares, Suárez asegura que una firma puede dar el paso de la internacionalización "en el momento en que la empresa posea una gerencia profesional, un esquema estable de gobernabilidad corporativa, que le genere a los grupos de interés que se relacionan con ella confianza, transparencia, producto de la gestión de una junta directiva estable y que le otorga valor agregado a la compañía". "Todo lo anterior basado en un plan estratégico que sea durable y no como producto de una moda pasajera", afirmó.

21

2.2. DESCRIPCIÓN Y ESTADO ACTUAL DE LA PYME VIDRIO AL ARTE E.U.: A continuación se expone un panorama de la Pyme seleccionada para este trabajo de grado, el cual fue obtenido por medio de entrevistas con el propietario de la empresa y la presentación de los procesos de producción que realiza. La información que se detalla a continuación abarca una breve descripción de la empresa y el primer diagnostico obtenido que motivo el propósito de este trabajo de grado.. 2.2.1. Empresa: Vidrio al Arte EU., es una empresa unipersonal fundada en1992, dedicada a los servicios de perforación, pulido y sandblasting de vidrio (pulir con chorro de arena) para uso residencial y comercial. 2.2.2. Estado Actual de Vidrio al Arte E.U.: Desde el 2009 la empresa inicia un proceso de formalización separando sus operaciones de las finanzas personales del propietario, constituyendo la razón social Vidrio al Arte EU., al igual que la mayoría de las Pyme de Colombia esta empresa aporta el sustento familiar, por lo que su principal objetivo es la generación de caja, que logre cubrir los gastos de funcionamiento y los gastos de la familia. 2.2.2.1. Gestión de Riesgo: El propietario desconoce el tema de gestión de riesgos, por lo cual no cuentan con un sistema estructurado de gestión de riesgo demostrando una carencia de planes de continuidad, reconoce que la posición frente al riesgo es reactiva y no proactiva, por lo que generalmente estos se materializan obtenido resultados no esperados. 2.2.2.2. Contabilidad y Finanzas: Durante la entrevista se evidenció el bajo conocimiento de los campos de la contabilidad y finanzas del propietario, con el efecto derivado que tiene ello en la función de control que se puede efectuar en cuanto a la información financiera; la gestión financiera se realiza de manera intuitiva. La contabilidad es una función a la que no le encuentran utilidad práctica, de ahí surgen debilidades para contar con estados financieros, y por lo tanto se presenta una carencia de información en forma de indicadores que puedan ser la base para efectuar un control y seguimiento en el campo financiero. Esto se presenta con relación a la poca importancia que se le otorga a la contabilidad, puesto que ella se percibe como una obligación relativa a las obligaciones fiscales y no como un instrumento fundamental de la gestión administrativa.

22

De allí que el “analfabetismo financiero” del empresario se derive en la idea de gastar lo mínimo posible en el tema de la contabilidad, por lo que esta función se suele delegar en un contrato de servicios con un Contador al que se busca retribuir con el menor egreso que se pueda negociar, lo cual perjudica a ambas partes, pues el Contador por dicha retribución no se compromete con toda su capacidad profesional para asesorar al empresario. Por lo anterior, es frecuente que el registro de la contabilidad no tenga el debido orden y sin el análisis necesario lo que conlleva a que carezcan de métodos para proyectar las ventas de la compañía y sus utilidades, no hay un control de las actividades de la empresa y a veces se confunden con las de su propietario. 2.2.2.3. Control de Costos: El propietario evidencio en la entrevista desconocer los sistemas de costos. Por la inexistencia de un sistema de costeo, no se tiene un control del desperdicio de recursos, adicionalmente esto dificulta la fijación de precios, y genera riesgos de pérdidas. No se toman parámetros de medida que determinen a ciencia cierta el monto de cada ítem de los costos, lo que conlleva que sea posible tomar decisiones que impliquen los correctivos necesarios para tener el dominio y las posibilidades reales de minimizar los costos. 2.2.2.4. Capital de Trabajo: El manejo de las cuentas por cobrar, las cuentas por pagar y los inventarios, no tienen una programación definida, sino como un afán más del día a día. Igualmente no existen procedimientos para el estudio de crédito a clientes. No se estudian adecuadamente los clientes, es una de las causas más altas de pérdidas de cartera por lo que en ocasiones tienen problemas de capital de trabajo. 2.2.2.5. Centralización de la Gestión: Las actividades se concentran en el dueño de la empresa, él que ejerce el control y dirección de la misma. Pues al constituir la empresa con una operación pequeña comparada con la actual, produjo el hábito de querer tener un excesivo dominio de todo lo que pasa en la empresa, lo que pone en riesgo la continuidad de la empresa ante su ausencia. 2.2.2.6. Indicadores: No se realizan evaluaciones de indicadores de gestión mensual por lo tanto no se hacen acciones de seguimiento a las actividades, auditoria y evaluaciones periódicas, lo que imposibilita garantizar el mejoramiento continuo y/o una prestación del servicio en continua mejoría

23

3. PROPUESTA Y APLICACIÓN DE ASESORIA PARA LA IMPLEMENTACIÒN DE UN SISTEMA DE GESTIÓN DE RIESGOS PARA

LA EMPRESA VIDRIO AL ARTE EU. Como producto del aporte profesional a este documento, a continuación se detalla cada una de las fases que se realizaron para la asesoría de implementación de un sistema práctico de gestión de riesgo para la empresa Vidrio Al Arte E.U., en cada una de estas fases se identificó el objetivo y/o información necesaria, el análisis que se realizó y el proceso para generar el resultado de cada fase que sirva como medio para la consecución de los objetivos de la Pyme. Es importante mencionar que un paso previo a la identificación de riesgos, como parte de la metodología de gestión de riesgo, es el establecimiento de objetivos. Ante la ausencia de una definición de misión, visión y objetivos estratégicos en la empresa seleccionada, se identificaron como objetivos expuestos por el propietario, mantener la continuidad de la empresa y la generación de utilidades. 3.1 FASE 1: IDENTIFICACIÓN DE LA CADENA DE VALOR Y DESCRIPCIÓN DE ACTIVIDADES. Se realizaron entrevistas y seguimiento físico de procesos de la empresa en la que se levantó la información necesaria para identificar e ilustrar gráficamente la cadena de valor y el análisis de cada uno de sus eslabones junto con las actividades de apoyo según el siguiente gráfico.

Gráfico 4. Propuesta para graficar la cadena de valor

Actividades de

Apoyo

Administración de Recursos Humanos

Infraestructura de la empresa

Tecnologías de la Información

Finanzas/Contabilidad

Como parte de la asesoría, se realizó una concientización al propietario de la compañía, de la importancia de definir un planeación estratégica que incluya los

Marketing

Logística de Entrada:

Producción

Logística de Salida

Ventas y Comerciali -

zación

24

elementos mínimos como misión, visión y objetivos estratégicos, que le ayude a establecer el rumbo de direccionamiento formal de la empresa. Es así como se resalta la implementación de un sistema de gestión de riesgos a la empresa con un manejo gerencial que permita la ampliación de la perspectiva de la PYME y permita un crecimiento organizado y planificado y utilizarlo como un medio para mejorar las actividades operacionales. En este proceso de identificaron las partes interesadas más significativas, en cuanto al ámbito interno se enumeraron: el propietario y empleados y en las externas: el gobierno, proveedores, bancos y clientes los cuales fueron tenidos en cuenta en el desarrollo de la aplicación del modelo de gestión de riesgo. Cadena de Valor. Posteriormente se identificó la cadena de valor de la compañía con las siguientes actividades primarias y de apoyo:

25

Gráfico 5. Cadena de valor

Actividades de

Apoyo

Administración de Recursos Humanos

Infraestructura de la empresa

Tecnologías de la Información

Finanzas/Contabilidad

A continuación se realizó una descripción de cada uno de sus eslabones: Marketing: Estrategia de marketing: Analizando la estructura implementada por la empresa se encontró que su mercado objetivo está orientado hacia empresas en un 80% y a personas naturales en un 20% y están ubicados en sectores económicos de muebles, carpinterías, arquitectos y constructores no profesionales, la manera de vincular clientes se hace a través de referidos por clientes ya vinculados y avisos publicitarios en medios masivos.

Marketing Estrategia de

marketing

Logística de Entrada:

Planeación y control de inventarios

Negociación y gestión de compra

Aprovisionamiento de inventarios

Transporte

Almacenamiento

Inspección

Producción

Fabricación

Control de Calidad

Logística de Salida

Entrega

Ventas y Comerciali -

zación

Política de ventas

Gestión de la fuerza de ventas

Facturación y gestión de cobro

Atención al cliente

26

Logística de Entrada:

Planeación y control de inventarios: Es considerado como uno de los principales eslabones en el inicio de la cadena de valor, cuenta con 4 importantes proveedores de lámina de vidrio con los que tiene excelentes relaciones comerciales, manteniendo un adecuado comportamiento de pago y un constante volumen de compra.

Negociación y gestión de compra: Sus proveedores están ubicados en Cali y Bogotá, con los cuales tiene condiciones de compra de pago de contado y otros con plazos entre 40 y 60 días. Aprovisionamiento de inventarios: El proveedor de Bogotá realiza entregas al día siguiente de la orden y los de Cali a los tres días, su stock de inventarios es para 15 días aproximadamente.

Transporte: El servicio de entrega es asumido por su proveedor, el descargue del material es realizado por los operarios de la empresa, no existe conocimiento de coberturas en seguros de la carga. Almacenamiento: El producto es recibido y almacenado en la bodega principal ubicada en el primer piso de las instalaciones de la empresa y en una bodega ubicada a 2 calles de la principal, las bodegas no tienen seguro todo riesgo.

Inspección: El material es recibido y almacenado sin la debida revisión, son acomodados al azar, con un alto índice de deterioro del material.

Producción: Fabricación: La empresa cuenta con tres servicios el pulido, la perforación y el sandblasting, el proceso se realiza con la orden de producción donde se especifican las medidas del corte, se desperdicia en promedio cerca del 10%, no existe un espacio apropiado para el corte y para el depósito de desperdicios, no hay constantes capacitaciones y el espacio no es apto para la concentración del personal. El pulido y perforación se realiza por medio de maquinaria, la cual debe ser programada por el operario donde se logra quitar el filo del producto, El sandblasting se realiza con la utilización de arena con una maquina que la expulsa creando figuras ya calcadas del diseño deseado por el cliente, es importante anotar que en todos los procesos el personal debe usar todos los implementados exigidos por la ARP (aseguradora de riesgos profesionales). Control de Calidad: Este proceso se realiza una vez terminada la producción, en donde se compara el producto con las especificaciones del pedido del cliente.

27

Logística de Salida:

Entrega: Se realiza el embalaje y cargue, es transportado por una camioneta propiedad de la empresa y es manejada por dos conductores con experiencia en el transporte de estos productos. Ventas y Comercialización: Política de ventas: Para clientes nuevos y/o con compras menores a cuatro millones de pesos, se pactan acuerdos de pago anticipado del 50% y el 50% contra entrega la cual se demora entre 4 y 5 días, para los pedidos superiores a cuatro millones de pesos se otorga crédito cuando el cliente lo solicita, para esto piden referencias comerciales, estados financieros y en algunos casos cheques posfechados.

Gestión de la fuerza de ventas: La mayoría de sus clientes son tradicionales por lo que no realizan un seguimiento del cliente, se realiza la venta una vez el cliente se comunique con la empresa, sin embargo para la consecución de nuevos clientes se contrato un vendedor especializado en ventas corporativas.

Facturación y gestión de cobro: La factura es realizada contra entrega y con el recibo a satisfacción por parte del cliente, no se realiza gestión cobro oportuna pues la costumbre mercantil de sus clientes tradicionales es demorar el pago, la empresa es permisiva por ser clientes de alta facturación, en caso de clientes eventuales se inicial la gestión de cobro a los 30 días después de incumplido el compromiso con un alto grado de siniestralidad de la cartera cuando no se tienen garantías apropiadas.

Atención al cliente: La empresa se empeña por cumplir al 100% con las especificaciones de los pedidos de sus clientes y asume los sobrecostos y gastos cuando estos fallan, considerándolo como un valor agregado a su organización, adicionalmente se considera como un proveedor de servicios personalizado que lo diferencia en el mercado.

Actividades de apoyo: Administración de recurso humano: Actualmente la empresa cuenta con 19 empleados de los cuales 5 son contratados directamente y 14 por medio de empresas de servicios temporales, actualmente su personal tiene un promedio de 3 años excepto por el cargo de cajero que tienen una alta rotación. A continuación se expone el mapa jerárquico que la organización.

28

Gráfico 6. Mapa Jerárquico

Infraestructura de la empresa: Está ubicada en un edificio en el barrio Santa Helenita de Bogotá, en su primera planta está ubicada la recepción, caja y producción, en el segundo piso se encuentra la gerencia y contabilidad y en el tercero la vivienda del propietario y familia. No tiene seguros, ni planes de contingencia.

Tecnologías de la información: La empresa está dotada por 3 computadores en donde se ingresa toda la información que se genera, tienen un programa de contabilidad con diferentes módulos, información que después de acumulada se almacena en un servidor que se encuentra en una caja de seguridad, con acceso único de gerente y gerente suplente.

Gerente

Propietario

Administrativos:

1 contador (externo)

2 auxiliares de contabilidad (temporal)

1 auxiliar administrativo (temporal)

1 cajero (temporal)

Ventas:

1 vendedor (directo)

Producción:

1 dibujante (temporal)

2 cortadores (temporal)

4 operarios (temporales)

2 operarios (directo)

1 conductor (temoral)

1 ayudante de despachos (temporal)

Gerente Suplente

Esposa Propietario

29

Finanzas/Contabilidad:

Gráfico 7. Estados Financieros

HOJA DE ESTADOS Y RAZONES FINANCIERAS

EMPRESA VIDRIO AL ARTE E.U. EN MILLONES

ESTADO DE RESULTADOS dic-07 ANAL.V. dic-08 ANAL.V. dic-09 ANAL.V. ANAL. HORIZONTAL

VENTAS NETAS 200 100,0% 346 100,0% 1.000 100,0% 73,2% 189,1%

Otros ingresos operacionales 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Costo de ventas 145 72,5% 327 94,6% 858 85,8% 126,0% 162,2%

Gastos operacionales 14 7,0% 10 2,8% 102 10,2% -30,5% 957,0%

Depreciaciones, amortizaciones y provisiones 0,0% 0,0% 0,0% 0,0% 0,0%

UTILIDAD OPERACIONAL 41 20,5% 9 2,6% 40 4,0% -78,1% 343,4%

Gastos financieros 0 0,0% 0 0,0% 4 0,4% 0,0% 0,0%

Otros ingresos no operacionales 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Otros egresos no operacionales 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

UTILIDAD ANTES CORRECCIÓN MONETARIA 41 20,5% 9 2,6% 36 3,6% -78,1% 300,3%

Corrección monetaria 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Impuestos 0 0,0% 0 0,0% 12 1,2% 0,0% 0,0%

UTILIDAD NETA 41 20,5% 9 2,6% 24 2,4% -78,1% 166,4%

0

BALANCE GENERAL dic-07 dic-08 dic-09 FUENTES USOS

Caja, bancos e inversiones temporales 5 1,9% 8 0,8% 52 18,5% 72,0% 545,5% 0 44

Cuentas por cobrar comerciales 53 21,6% 29 2,8% 100 35,8% -45,8% 250,6% 0 71

Inventarios 59 24,0% 35 3,5% 58 20,9% -40,2% 67,0% 0 23

Ctas. ctes. comerciales 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

Otros activos corrientes 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

TOTAL ACTIVO CORRIENTE 116 47,6% 72 7,1% 210 75,2% -38,2% 193,7%

Bienes raíces 69 28,4% 95 9,5% 0 0,0% 37,3% -100,0% 95 0

Maquinaria y equipo 50 20,5% 86 8,6% 52 18,7% 72,0% -39,2% 34 0

Otros activos fijos 9 3,5% 8 0,8% 16 5,7% -5,9% 98,6% 0 8

Depreciación acumulada 0 0,0% 0 0,0% 3 1,2% ####### 33750,0% 3 0

TOTAL ACTIVO FIJO NETO 128 52,4% 189 18,8% 65 23,2% 48,0% -65,7%

Diferidos 0 0,0% 743 74,0% 5 1,6% 0,0% -99,4% 739 0

Cuentas por cobrar a socios / Cías. vinculadas 0,0% 0,0% 0 0,0% 0,0% 0,0% 0 0

Otros activos no corrientes 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

Valorizaciones 0,0% 0,0% 0 0,0% 0,0% 0,0%

TOTAL ACTIVO NO CORRIENTE 128 52,4% 932 92,9% 69 24,8% 630,0% -92,6%

TOTAL ACTIVO 243 100,0% 1.004 100,0% 279 100,0% 312,3% -72,2%

* Cuentas de orden deudoras 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Obligaciones bancarias corto plazo 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

Proveedores 0 0,0% 0 0,0% 72 25,8% 0,0% 0,0% 72 0

Ctas. ctes. comerciales / Cías. vinculadas 0,0% 0,0% 0,0% 0,0% 0,0% 0 0

IVA por pagar 0 0,0% 0,0% 0 0,0% 0,0% 0,0% 0 0

Otros pasivos corrientes 25 10,1% 60 23,0% 33 11,7% 143,7% -45,5% 0 27

TOTAL PASIVO CORRIENTE 25 10,1% 60 23,0% 105 37,6% 143,7% 74,5%

Obligaciones bancarias largo plazo 0,0% 0,0% 0,0% 0,0% 0,0% 0 0

Cuentas de socios / Cías. vinculadas 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

Otros pasivos no corrientes 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

TOTAL PASIVO A LARGO PLAZO 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

TOTAL PASIVO 25 10,1% 60 23,0% 105 37,6% 143,7% 74,5%

Capital pagado 178 73,0% 192 73,5% 150 53,8% 7,7% -21,7% 0 0

Reservas 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Superávit de capital 0,0% 0,0% 0,0% 0,0% 0,0% 0 0

Revalorización del patrimonio 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0% 0 0

Utilidades retenidas 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

Utilidad del periodo 41 16,8% 9 3,4% 24 8,6% -78,1% 166,4% 24 0

Valorizaciones 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

TOTAL PATRIMONIO 219 89,9% 201 77,0% 174 62,4% -8,4% -13,3%

TOTAL PASIVO + PATRIMONIO 243 100,0% 261 100,0% 279 100,0% 7,0% 6,9%

* Cuentas de orden acreedoras 0 0,0% 0 0,0% 0 0,0% 0,0% 0,0%

DIVIDENDOS PAGADOS 0 27 51 51

TOTAL FUENTES Y USOS 966 224

RAZONES FINANCIERAS dic-07 dic-08 dic-09

LIQUIDEZ

Razón corriente (Veces) 4,7 1,2 2,0

Prueba ácida (Veces) 2,3 0,6 1,4

Capital trabajo 91 12 105

Cobertura de intereses (Veces) 0,0 0,0 9,9

EBITDA 41 9 40

Cobertura de intereses EBITDA (Veces) 0,0 0,0 9,9

ACTIVIDAD

Rotación cartera (Días) 95 30 36

Rotación inventario (Días) 145 39 25

Ciclo operacional (Días) 240 68 61

Rotación proveedores (Días) 0 0 30

Rotación activo total (Veces) 0,8 0,3 3,6

ENDEUDAMIENTO

Endeudamiento sin valorizaciones 10,1% 6,0% 37,5%

Concentración del pasivo en el corto plazo 100,0% 100,0% 100,0%

Relación pasivo / ventas (Días) 44 62 38

Apalancamiento financiero (Veces) 0,1 0,3 0,7

Endeudamiento sector financiero 0,0% 0,0% 0,0%

IVA por pagar / IVA estimado por pagar (Veces) 0,0 0,0 0,0

30

En la revisión de estados financieros de 2007, 2008 y 2009 se observa lo siguiente: Vidrio al Arte EU. en el 2007 y 2008 presenta informes financieros en cabeza de su propietario teniendo en cuenta que hasta este último año se registraron todas la operaciones en cabeza de él y su esposa, desde el 2009 se unifican las dos operaciones y es evidente el incremento en la dinámica comercial de la empresa, en cuanto a los márgenes de rentabilidad es claro que no hay políticas claras de precio y la debida planeación de costos y gastos, por ser estás muy fluctuantes, sin embargo se debe abonar que arrojan utilidad y su EBITDA es positivo. Sus activos son líquidos en su mayoría, lo que se refleja en la ágil rotación de cartera e inventarios, a pesar de tener una alta exigibilidad de pago a proveedores la empresa cuenta con créditos rotativos para cubrir la brecha de efectivo, por lo que debería tener mayor control sobre sus proyecciones de flujo de caja que aseguren el servicio de la deuda, los activos fijos disminuyen para el último corte por que el bien inmueble no fue transferido a la empresa y quedo en cabeza del socio gestor, su endeudamiento es alto y se concentra con proveedores, saldo que es cancelado a ritmo del recaudo de la cartera. 3.2 FASE 2: IDENTIFICACIÓN DE RIESGOS EN LAS ACTIVIDADES QUE COMPONEN LA CADENA DE VALOR Una vez puntualizados los eslabones de la cadena de valor y los subprocesos que ocurren dentro de cada uno de ellos, por medio de la técnica de lluvia de ideas con el gerente, se procedió a identificar los riesgos existentes de las fuentes de riesgo y de los eventos que puedan afectar y/o alterar la consecución de los objetivos propuestos, después de identificarlos se determinaron las posibles causas en que estos puedan ocurrir. Estos fueron plasmados en una matriz de riesgo diseñada con el propósito de evaluar los controles existentes en la compañía. Identificados los objetivos de mantener la continuidad de la empresa y generar utilidades, así como la cadena de valor donde se evidencian procesos y subprocesos y utilizando la técnica de lluvia de ideas con el propietario de la compañía, se avanzó con la comprensión de cada proceso y actividad de la empresa en forma estructurada, realizando las siguientes preguntas:

¿Cuál es la fuente de riesgo?

¿Qué podría ocurrir?

¿Cuál es el efecto sobre los objetivos?

¿Qué controles existen en la actualidad?

31

Como producto de esta fase, a continuación se presentan los resultados obtenidos que se registraron en la siguiente hoja de trabajo: Gráfico 8. Hoja de Trabajo

PROCESO SUBPROCESO No. RIESGO PROBABILIDAD IMPACTO CONTROL

Consecución de Clientes 1Clientes inconvenientes -

Listas NegrasBaja Superior Clientes referidos

Conocimiento del cliente 2Incapacidad de Pago - mal

comportamiento de pagoModerada Importante

Solicitud de estados financieros - Referencias

Comerciales - Cheques posfechados

PROCESO SUBPROCESO RIESGO PROBABILIDAD IMPACTO CONTROL

Planeación y control de

inventarios3 Desabastecimiento Muy Baja Superior

Cuenta con 4 proveedores - Mantiene inventario

para 15 días, teniendo en cuenta la ubicación de

proveedores

Negociación y gestión de

compra4 Incapacidad de Pago Moderada Mayor

Tiene cupos de créditos rotativos para cumplir

obligaciones en caso de demoras en el ciclo

operacional

Robo de inventario A cargo del proveedor

Rompimiento Operarios capacitados para el descargue

6 Rompimiento de Laminas Moderada Menor Se acomodan sobre cauchos y paredes

7Deterioro por mala

acomodaciónAlta Menor

Se responsabilizó al cortador por la acomodación

de las laminas.

Inspección 8 Deterioro Alta Menor no hay

PROCESO SUBPROCESO RIESGO PROBABILIDAD IMPACTO CONTROL

9Espacio no apropiado para la

actividadAlta Mayor no hay - restricción de espacio

10 Desperdicio Alta Menor Revisión repetida de medidas

11 Accidente de trabajo Moderada SuperiorUtilización de implementos de seguridad

industrial

12Deterioro de la lamina - mala

programación de la maquinaBaja Mayor no hay

13 Accidente de trabajo Moderada SuperiorUtilización de implementos de seguridad

industrial

14

Deterioro de la lamina -

desconcentración del

operario

Moderada Superior no hay

15 Accidente de trabajo Moderada SuperiorUtilización de implementos de seguridad

industrial

16Desperdicio - orden de

producción mal tomadaModerada Importante

Persona Calificada - por lo general lo realiza el

dueño

17 Accidente de trabajo Moderada SuperiorUtilización de implementos de seguridad

industrial

Control de Calidad 18 Entrega sin revisión Alta Mayor no hay

PROCESO SUBPROCESO RIESGO PROBABILIDAD IMPACTO CONTROL

Logística de Salida Entrega 19Rompimiento - mal embalaje

accidente de tránsitoModerada Mayor

Requerimiento de alta experiencia en embalador y

conductor

PROCESO SUBPROCESO RIESGO PROBABILIDAD IMPACTO CONTROL

Política de ventas 20 Incumplimiento de pago Moderada SuperiorAcuerdos de pago - solicitud de documentos y

referencias para el conocimiento del cliente.

Gestión de la fuerza de ventas 21Clientes inconvenientes -

Listas NegrasBaja Superior Clientes referidos

Facturación y gestión de

cobro: 22 Incumplimiento de pago Moderada Superior

Verificación de comportamiento de pago - solicitud

de cheques posfechados

Atención al cliente 23 Pérdida de clientes Baja Mayor Encuesta de servicio

PROCESO SUBPROCESO RIESGO PROBABILIDAD IMPACTO CONTROL

24 Incumplimiento de pago Muy Baja ImportantePersonal contratado a través de empresas de

servicios temporales

25 Accidente de trabajo Moderada SuperiorDotación de implementos de trabajo según

especificaciones de ARP

26Alta Rotación de Cajero -

Intento de Robo de efectivoAlta Mayor no hay

27Concentración de control en

una personaMuy Alta Superior Se encarga el gerente suplente

28 Terremoto Muy Baja Superior no hay

29 Robo en general Alta Mayor no hay

Tecnologías de la información 30 Falla Técnica Alta Superior no hay

Marketing

Logística de

Entrada

Producción

Ventas y

Comercialización

Actividades de

apoyo

Corte

Pulido

Sandblasting

Perforación

Administración de recurso

humano

Infraestructura de la empresa

5 Baja MayorTransporte

Almacenamiento

32

3.3 FASE 3: ANÁLISIS Y VALORACIÓN INICIAL DE LOS RIESGOS Después de identificar los riesgos, en compañía del gerente se analizó en términos de consecuencias potenciales y probabilidades de ocurrencia cada uno de ellos, proceso en el que se utilizó el siguiente mapa de riesgos tomado en la investigación realizada en la NTC 5254:2006, con cinco niveles de impacto, cinco de probabilidad y cuatro escenarios de criticidad. Gráfico 9. Matriz de análisis cualitativo de riesgo inherente

Niveles de probabilidad: Muy Alta: El evento se presenta constantemente. Alta: El evento ha ocurrido varias veces. Moderada: El evento ocurre de vez en cuando. Baja: El evento ocurre en raras ocasiones. Muy baja: El evento no es considerado.

33

Niveles de impacto: Superior: Disminución significativa de reputación y/o operatividad y/o

utilidades. Mayor: Disminución importante de reputación y/o operatividad y/o utilidades. Importante: Alguna disminución de reputación y/o operatividad y/o utilidades. Menor: Disminución mínima de reputación y/o operatividad y/o utilidades. Inferior: Disminución insignificante de reputación y/o operatividad y/o

utilidades. Escenarios de criticidad de riesgo: Muy Alto: Se necesita atención inmediata de la alta dirección, especificar

planes de acción y responsabilidad de la dirección. Alto: Se necesita atención de la alta dirección, especificar planes de

acción y responsabilidad de la dirección. Medio: Gestionar mediante procedimientos de monitoreo o respuesta

específicos con responsabilidad especificada de la dirección. Bajo: Gestionar mediante procedimientos de rutina, es improbable que se

necesite la aplicación especifica de recursos. En esta fase se logró desarrollar el entendimiento del riesgo, por medio de un examen cualitativo plasmado en una matriz de análisis cualitativo de riesgo inherente, este fue escogido porque lo datos numéricos no eran suficientes ni adecuados para el análisis, se utilizaron niveles de probabilidad y de impacto, utilizando palabras que definieron un nivel de riesgo de cada proceso que determinaron la necesidad de tratamiento y su prioridad. Es importante evidenciar la limitación que se presentó en la evaluación de controles pues la administración no cuenta con documentos soporte, ni se presenciaron las actividades para observar la aplicación de controles a los riesgos. Por esta razón no se pudo continuar con la fase de tratamiento de riesgos y posterior monitoreo, razón por la que se elaboran recomendaciones a la gerencia con el fin obtener la efectividad del sistema de gestión de riesgo. A continuación se presenta el resultado de la valoración de los riesgos inherentes de los subprocesos de negocio de la Compañía.

34

Gráfico 10. Matriz de análisis cualitativo de riesgo inherente aplicada

Con los resultados de la gráfica anterior donde se ilustra el nivel y clave para el tratamiento de los riesgos identificados en la cadena de valor de la empresa Vidrio al Arte EU. se analiza el rango de resultados de eventos de riesgo en donde se pueden clasificar los riesgos como problemas o catástrofes según la ubicación en la matriz, como se explica en la siguiente gráfica:

Muy Alta

27

Alta

7-8-10 9-18-26-29 30

Moderada

6 2-16 4-1911-13-14.15-17-

20-22-25

Baja

5-12-23 1-21

Muy Baja

24 3-28

Inferior Menor Importante Mayor Superior

Escenarios de

criticidad de

riesgo:

Clave para el tratamiento de riesgo:

Rojo: Muy Alto

Amarillo Alto

Azul: Medio

Verde: BajoProseguir de forma Usual: Gestionar mediante procedimientos de rutina, es improbable que

se necesite la aplicación especifica de recursos.

PROBABILIDAD

IMPACTO

Acción Inmediata: Se necesita atención inminente de la alta dirección, especificar planes de

acción y responsabilidad de la dirección.

Acción Incrementada: Se necesita atención de la alta dirección, especificar planes de

acción y responsabilidad de la dirección.

Proseguir de forma Usual: Gestionar mediante procedimientos de monitoreo o respuesta

específicos con responsabilidad especificada de la dirección.

35

Gráfico 11. Clasificación de Riesgos

Teniendo en cuenta el gráfico anterior se identifican y analizan los “problemas” y “catástrofes” como riesgos separados, aunque los dos son importantes se tiene en cuenta que un problema (riesgo de alta probabilidad con bajo impacto), puede tener efectos acumulativos o a largo plazo que pueden llegar a ser tan graves como las catástrofes, por otro lado los eventos catastróficos representan mayores amenazas y son los que deben causar mayor preocupación al propietario. Por lo anterior las acciones de tratamiento a adoptar la empresa en este tipo de riesgos deben ser diferenciales.

Muy Alta

14

Alta

7 9 8 - 11 - 13 16

Moderada

6 2 4 10

Baja

5 - 12 1

Muy Baja

3 - 15

Inferior Menor Importante Mayor Superior

MATRIZ DE ANALISIS CUALITATIVO DE RIESGOS INHERENTEP

RO

BA

BIL

IDA

D

IMPACTO

Ploblema

36

A partir de la matriz presentada anteriormente, a continuación se presenta un resumen gerencial de la criticidad de cada una de las 30 declaraciones de riesgo que se observan en la hoja de trabajo representada en el gráfico No. 9, por cada uno de los 6 procesos de negocio que componen la cadena de valor de la Compañía, el total de riesgos es diferente porque hay varios riesgos que se repiten en una misma actividad o en diferentes actividades pero que mantienen diferentes fuentes de riesgo (subprocesos), como es el caso de clientes inconvenientes, robo, accidente de trabajo, entre otros.

Gráfico 12. Escenarios de criticidad de riesgo por proceso

Tabla 1. Escenarios de criticidad de riesgo por proceso

Proceso Rojo: Muy

Alto Amarillo:

Alto Azul: Medio

Verde: Bajo

Total

Marketing 1 1 2

Logística de Entrada 1 4 1 6

Producción 6 4 10

Logística de Salida 1 1

Ventas y Comercialización 1 3 4

Actividades de apoyo 5 1 1 7

Total 14 13 3 0 30

Porcentaje 47% 43% 10% 0% 100%

Se puede observar que el proceso que tiene mayores riesgos con criticidad alta es el de producción debido al factor crítico de la seguridad industrial y por tratarse de la actividad con mayor participación en su estructura de costos, razón por la cual

0

2

4

6

8

10

1 1

6

1

5 1

4

4

3

1 1

1

1

Verde: Bajo

Azul: Medio

Amarillo: Alto

Rojo: Muy Alto

37

el propietario debe enfocar esfuerzos para asignar controles a cada riesgo para la minimización de los mismos, seguido de actividades de apoyo en razón al bajo presupuesto de recursos asignado y la baja cultura de riesgo. La evaluación de riesgos arrojó el siguiente resultado en cuanto a la necesidad de tratamiento y priorización: Escenario de criticidad de riesgo muy alto: Pueden generar grandes incidentes y catástrofes aisladas, se necesita atención de la alta dirección, especificar planes de acción y responsabilidad de la dirección. Tabla 2. Criticidad de Riesgos – Muy alto

Escenario de criticidad de riesgo alto: Pueden generar grandes incidentes y catástrofes aisladas, se necesita atención de la alta dirección, especificar planes de acción y responsabilidad de la dirección: Tabla 3 Criticidad de Riesgos – Alto

Escenario de criticidad de riesgo medio: Pueden generar grandes incidentes y catástrofes aisladas, Se necesita atención de la alta dirección, especificar planes de acción y responsabilidad de la dirección.

PROCESO SUBPROCESONo. DE

RIESGORIESGO

Marketing Consecución de Clientes 1 Clientes inconvenientes - Listas Negras

Logistica de Entrada Negociación y gestión de compra 4 Incapacidad de Pago de la Empresa

8 Espacio no apropiado para la actividad

10 Accidente de trabajo

Pulido 10 Accidente de trabajo

Sandblasting 10 Accidente de trabajo

Perforación 10 Accidente de trabajo

Control de Calidad 11 Entrega sin revisión

Ventas y Comercialización Gestión de la fuerza de ventas 1 Clientes inconvenientes - Listas Negras

4 Incapacidad de Pago de la Empresa

10 Accidente de trabajo

13 Alta Rotación de Cajero - Intento de Robo de efectivo

14 Concentración de control en una persona

Tecnologías de la información 16 Falla Técnica

Administración de recurso humano

Corte

Producción

Actividades de apoyo

PROCESO SUBPROCESONo. DE

RIESGORIESGO

Marketing Conocimiento del cliente 2 Incapacidad de Pago de Clientes- mal comportamiento de pago

Planeación y control de inventarios 3 Desabastecimiento

Transporte 5 Robo

Almacenamiento 7 Deterioro de la lamina por mala acomodación

Inspección 7 Deterioro de lamina

Corte 9 Desperdicio

Pulido 7 Deterioro de lamina

Sandblasting 7 Deterioro de la lamina - desconcentración del operario

Perforación 9 Desperdicio - orden de producción mal tomada

Política de ventas 2 Incapacidad de Pago de Clientes- mal comportamiento de pago

Facturación y gestión de cobro: 2 Incapacidad de Pago de Clientes- mal comportamiento de pago

Atención al cliente 12 Pérdida de clientes

Actividades de apoyo Infraestructura de la empresa 15 Terremoto - Inundación - Desastre Natural

Ventas y Comercialización

Producción

Logística de Entrada

38

Tabla 4 Criticidad de Riesgos – Medio

3.4 FASE 4: RECOMENDACIONES Por último se presentarán recomendaciones que pueden contribuir al buen funcionamiento del sistema de gestión de riesgo que se busca implementar por medio de esta asesoría, las que surgirán de la aplicación de las fases anteriores y el análisis de los resultados. La empresa Vidrio al Arte E.U., como primera medida debe definir una misión que represente la razón de ser de la Pyme y determine las actividades a realizar para conseguirla, seguida de la creación de una visión que ilustre la imagen futura de la empresa en un plazo definido, con el fin de crear un ideal, que por medio la identificación de objetivos, la empresa pueda encaminarse en el rumbo definido. Los objetivos de la empresa pueden identificarse a través de la metodología que dictan los autores Robert Kaplan y David Norton de la Universidad de Harvard, por medio del concepto de balanced scorecard, que se entiende como una herramienta para alcanzar la visión en cuatro categorías de negocio: financieros, clientes, procesos y aprendizaje. La empresa debe reconocer que el riesgo inherente está presente en cada una de las actividades que realiza, existen algunos que se identificaron después del desarrollo de las fases anteriores, pero deben existir otros riesgos que no se han identificado, hasta cuando se realice un análisis detallado de cada uno de los eslabones de la cadena de valor. Teniendo en cuenta lo anterior, el propietario debe entrar en un proceso de concientización propia y de las partes interesadas como un tema de importancia fundamental y lo haga entender como un medio para lograr los resultados deseados. La continua ejecución del sistema de gestión de riesgo sin duda proyectará a la empresa a una mejor práctica empresarial y logrará mejores resultados en calidad, por tratarse de un medio para la consecución de objetivos debe contener un alto compromiso por las partes interesadas al requerir, conciencia y cultura al riesgo, pensamiento visionario, responsabilidad en la toma de decisiones y alta comunicación.

PROCESO SUBPROCESONo. DE

RIESGORIESGO

Logística de Entrada Transporte 6 Rompimiento de Laminas

Actividades de apoyo Almacenamiento 6 Rompimiento de Laminas

Logística de Salida Entrega 6 Rompimiento - mal embalaje accidente de tránsito

39

La gestión de riesgo bien estructurada optimizará y potencializará la identificación de mayores oportunidades de mejora continua a través de la innovación. El modelo de gestión de riesgos recomendado es sencillo por lo que se considera que es fácilmente apropiable, para un tipo de empresa como Vidrio Al Arte EU., para su continua ejecución, trayendo consigo beneficios como:

Menores sorpresas, cuando se presente un evento de riesgo, se logre la oportuna identificación y ejecución de acciones que minimicen su probabilidad y efecto, aunque la empresa no pueda eliminar un riesgo, podrá lograr una reducción de probabilidades y/o impactos a través de la

planificación y prevención.

Al lograr el conocimiento y entendimiento generalizado de los riesgos mejorará la planificación, el desempeño, eficacia, economía y eficiencia.

Cuando se involucra en el proceso las partes interesadas y desarrolla una comunicación en doble vía, estas responderán a las nuevas políticas y procedimientos de control una vez entendido el por qué de los cambios, mejorando la reputación al conocer la ejecución de un proceso sólido de gestión de riesgo.

Ayuda a la debida diligencia en la toma de decisiones mediante la concientización de riesgos potenciales por medio de la mayor generación de información apta para el análisis que genera el modelo.

Bienestar personal y mejora en el clima laboral de la empresa.

En cuanto al desarrollo, mantenimiento y mejoramiento del sistema de gestión de riesgos es importante destacar lo siguiente: Vidrio al Arte EU. debe considerar la comunicación y consulta de forma bidireccional con las partes interesadas y considerarlas en cada fase del proceso de gestión de riesgos para asegurar que se tengan diferentes puntos de vista para la gestión adecuada del cambio durante el tratamiento de los riesgos. Se debe tener en cuenta que la participación activa de las partes interesadas y la comprensión de la perspectiva de las mismas permite el compromiso de los gestores de riesgo, se crea concientización de la necesidad de aprobar y apoyar un plan de tratamiento.

40

La comunicación y consulta deberá considerarse como un proceso de retroalimentación entre la organización y sus partes involucradas, tendrá impacto sobre una decisión a través de la influencia y no por la imposición del poder; se podrá realizar a diferentes niveles de acuerdo con la actividad o área crítica en evaluación. El proceso de comunicación y consulta se debe realizar por pasos, el primero de ellos es identificar las partes involucradas que se definen como aquellas que pueden afectar, afectarse, percibirse afectados por la empresa o por el proceso de gestión de riesgo; El segundo paso es establecer un plan de comunicación y consulta donde la organización puede incluir a las partes involucradas en la gestión de riesgo estratégica a nivel de toda la organización. Como lo indica la NTC 5254:2006 en todos los procesos de comunicación y consulta se deben contemplar los siguientes elementos:

o Objetivos.

o Partes involucradas.

o Perspectivas de los participantes.

o Los métodos de comunicación a usar.

o Proceso de evaluación a usar. Y se debe tener claro si la comunicación y consulta es acerca de:

Concientización y comprensión acerca de un problema en particular.

Aprendizaje de las partes involucradas.

Logro de una mejor comprensión del contexto, de los criterios del riesgo, el riesgo o el efecto de los tratamientos del riesgo.

Logro de un cambio de actitud o de comportamiento en relación con una materia particular.

O una combinación de algunas de las anteriores.

41

En cuanto al Establecimiento del contexto la empresa debe realizar un proceso de concientización que le permita identificar las fortalezas, debilidades, oportunidades y amenazas de la organización (análisis DOFA) frente a los factores internos y externos con el fin de definir opciones estratégicas que alimenten la gestión de riesgo que conlleven al cumplimiento de los objetivos que plantea el propietario: crecimiento de la empresa, incrementar las utilidades y asegurar la continuidad de la empresa. La empresa debe realizar de manera sistemática la fase de identificación de riesgos en todos los procesos y actividades en sesiones de comunicación y consulta realizando preguntas clave para la debida identificación como las que se detallan a continuación:

¿Cuál es la fuente de cada riesgo?

¿Que podría ocurrir?

¿Cuál sería el efecto sobre los objetivos?

¿Cuándo, dónde, por qué, cómo es posible que ocurran estos riesgos (positivos y negativos)?

¿Que podría causar que el control no tuviera los efectos deseados?

En cuanto a la fase de análisis de riesgo se recomienda a la empresa mantener el procedimiento utilizado en el numeral 3.3. de este trabajo de grado, adicionalmente se deben evaluar los controles existentes por medio de la auditoria a los procesos por lapsos de tiempo determinados por el gerente para determinar si son efectivos para mitigar los riesgos. Para el tratamiento de los riesgos la empresa debe elegir entre las siguientes opciones de tratamiento para los riesgos:

Evitar el riesgo decidiendo no empezar ni continuar con la actividad que genera el riesgo. Se debe tener en cuenta que la evasión del riesgo puede ser contraproducente para empresas extremadamente reacias al riesgo, esto puede generar el incremento en el nivel de importancia de otros riesgos o la pérdida de oportunidades de ganancia.

Cambiar la posibilidad del riesgo por medio de controles para reducir la probabilidad del riesgo.

Cambiar las consecuencias para reducir pérdidas. Esto incluye reducir la exposición al riesgo como medida preventiva y planes de continuidad como medida posterior.

42

Compartir o transferir el riesgo Para lograr la consecución de los objetivos, el modelo debe ser monitoreado y revisado en cada una de sus fases continuamente, enfocándose en los factores que pueden afectar las posibilidades y consecuencias de los riesgos y el costo de los controles que determinen el adecuado tratamiento adoptado por la dirección.

43

CONCLUSIONES

La realización de la asesoría se desarrolló usando la metodología que dicta la Norma ICONTEC 5254 de 2006, basada en el Estándar Australiano de Administración de riesgos, y tomando como complemento, temas del referente teórico como COSO II ERM y Normas ISO sobre Gestión de Riesgos. Como producto de lo anterior, se evidenció la concientización del propietario de la empresa sobre la utilización del sistema de gestión de riesgo como un medio para lograr sus objetivos y un proceso que ayuda a tomar decisiones a la hora de elegir el nivel de riesgo a que está dispuesta a afrontar la compañía, identificando variables potenciales que la lleven a maximizar oportunidades y minimizar pérdidas. Lo que traduce que durante todas las fases de la gestión de riesgo la empresa está en capacidad de elegir el nivel de riesgo que quiera asumir. En la aplicación de la asesoría en la implementación a Vidrio al Arte EU, no se logró obtener la efectividad del sistema gestión de riesgo por limitaciones presentadas en la fase 3 (numeral 3.3.), por esta razón es necesario que la administración atienda las recomendaciones que se realizaron, sin embargo se logró satisfacer las necesidades de la empresa en cuanto a:

Los beneficios de haber implementado un sistema de gestión de riesgo a la empresa.

La metodología de implementar un sistema gestión de riesgo.

Determinar claramente las áreas claves en donde se deben enfocar mayores controles.

Finalmente concluyo que ser Contador Público, no puede ser limitante para aportar a una empresa únicamente la actividad de llevar libros de contabilidad. Debemos tener en cuenta, que podemos crear una conciencia en las organizaciones, para intervenir en otros medios de acción, como en el caso práctico que este trabajo de grado, que me permitió asesorar al empresario de la Pyme Vidrio al Arte EU. en la implantación de un sistema de gestión de riesgo, e inducirlo hacia metodologías gerenciales financieras y de control enfocadas como herramientas para lograr mejores prácticas empresariales.

44

BIBLIOGRAFIA

Abella Rubio, Ramón. “COSOII y La Gestión Integral de Riesgos del Negocio”. Febrero 2006. Disponible en la Web: http://pdfs.wke.es/6/6/7/3/pd0000016673.pdf. Revisado junio 2011.

ASOBANCARIA. La semana Económica- No.495. Febrero de 2006. Avila Sanchez Lilina. El 54% de las pyme no está preparado para siniestros

naturales. Periódico La Republica. Publicado: 19.01.2011. Disponible en la Web: http://www.larepublica.com.co/archivos/PYMES/2011-01-19/el-54-de-las-pyme-no-esta-preparado-para-siniestros-naturales_119528.php.

Revisado Junio 2011. BECK, Demriguc-Kunt, Macksivovic. Banco Mundial. 2003, El mundo de las Pymes. En: La Nota Económica, Octubre 2010. Estándar Australiano. Administración de Riesgos. AS/NZS 4360:1.999. ICONTEC. (2007). Manual Directrices de Gestión de Riesgo NTC 5254:2006 ICONTEC. NTC5254:2006 Gestión de Riesgo. International Organization for Standardization ISO. ISO 31000:2009 Risk

Management. Disponible en la web: http://www.iso.org. Revisado Junio 2011. La Contabilidad de las Pequeñas y Mediana Empresas. Conferencia de las

Naciones Unidas sobre Comercio y Desarrollo. Grupo de Trabajo Intergubernamental de Expertos en Normas Internacionales de Contabilidad y Presentación de Informes. Ginebra, 2001.

Ley 905 de 2004. República de Colombia. 2004. Nasaudit, Red de Conocimientos Especializada en Auditoría. “COSO II:

Enterprise Risk Management”, 31/07/2009, Disponible en la Web: http://actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-

COSO_II_Enterprise_Risk_Management_Primera_Parte.pdf. Revisado Junio 2011. Revista ScientiaEtTechnica Año XIII, No 34, Mayo de 2007. Universidad

Tecnológica de Pereira Página 322

45

Sánchez María Isabel. Pymes: a entregar manejo a la segunda generación. Periódico La Republica. Publicado: 27.09.2010. Disponible en la Web;

http://www.larepublica.co/archivos/PYMES/2010-09-27/pymes-a-entregar-manejo-a-la-segunda-generacion_111389.php. Revisado Junio 2011.

The Committee of Sponsoring Organizations of the Treadway Commission

(COSO). COSO II: Enterprise Risk Management. Disponible en la Web: http://www.coso.org/. Revisado Junio 2011.